組織データのコピーをモバイルへ保存禁止

想定されるケース

・個人用スマホを業務に利用するケース(BYOD)

・会社支給の業務用スマホ

できること

個人用スマホでOutlook、Onedrive、Sharepoint等の利用をする際に、個人用スマホ内にPDF、Excel等の業務データを保存できない様にする(閲覧、編集は可能)

個人用スマホでOutlook、Onedrive、Sharepoint、Excel等のOfficeは許可されているが、スマホにダウンロードすると下図の様になります。

データ保存禁止、個人用メールアドレスの追加禁止、スクリーンショット禁止や、テキストのコピー禁止も可能

所有権が個人か企業が選択できます。今回はBYODを想定しているので所有権は個人となります。

会社が確認できない情報

・通話とWebの履歴
・メールとテキストメッセージ
・連絡先と予定表
・パスワード
・写真

会社が確認できる情報

・モデルおよびシリアル番号
・オペレーティングシステム
・アプリ名
・所有者とデバイス名
・会社用デバイスの電話番号
・紛失した会社用デバイスの場所

Outlookアプリへ個人アカウントの追加を禁止する

想定されるケース

・個人用スマホを業務で使用しているケース

防ぐことができるケース

・個人用メールアカウントを追加できないので個人用アドレスを使用した情報漏洩の可能性が低くなる

Outlookアプリからアカウントを追加します。

個人用のGmailのアドレスを入力します。

パスワードを入力し、ログインします。

Gmailアカウントへのアクセスのリクエストが開始されます。

組織から許可されていませんと表示され、個人用メールアカウントを追加することができません。

iOSでMDMを使用する為の方法

APNs 証明書の取得手順

1.Azure AD ポータル (http://portal.azure.com) にサインインします。​

2. メニューより 『Intune 』をクリックします。​​

3. 『デバイスの登録 』 > 『Apple の登録 』 > 『Apple MDM プッシュ通知証明書 』をクリックします。​

4. ステップ 2 [CSR のダウンロード] をクリックし、csr ファイルを任意の場所に保存します。​

5. ステップ 3 [ MDM プッシュ証明書を作成する] をクリックします。​

6. [Apple Push Certificates Portal] ページが開くので、APNs 証明書を作成時の Apple ID でサインインします。​

7. [Expiration Date (有効期限)] を確認して、該当する Certificates の [Renew] をクリックします。​

8. [Renew Push Certificates Portal] が表示されたら、[ファイルを選択] をクリックして、手順 5 で保存したファイルの場所を参照し、[Upload] をクリックします。​

9. [Confirmation] の画面に変わったら、[Download] をクリックして、pem ファイルを任意の場所に保存します。​

10. [MDM プッシュ証明書を構成する] に戻り、手順 6 で入力したものと同じ Apple ID を入力します。​

11. 手順 9 で保存したファイルの場所を参照し、[アップロード] をクリックします。​

Windows デバイスの登録をセットアップ

1. 設定 →アカウント → 職場または学校にアクセスする を開きます。​

2.[+ 接続] をクリックします。​

3. Azure AD 登録する場合は上部の枠から、Azure AD 参加する場合は下部の [このデバイスを Azure Active Direcyory に参加させる] をクリックし、自動登録設定をしているユーザーでサインインしてください。​

4. 上記サインイン後、PIN コード設定や電話認証が求められることがございます。画面の指示に合わせて設定を完了させてください。​

5. Azure AD 参加の場合には一度、Windows からサインアウトし、その後登録に用いた UPN で再度サインインしてください。

会社PCを紛失した際にリモートでデータ消去する方法

下記の様なケースに有効です。

会社PC、スマホを紛失したので情報漏洩しない様にデータを消去したい

・個人所有のPC、スマホなので業務データのみ消去したい

・退職者からPC、スマホの返却が遅れているのでデータを消去したい

1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

1. 『リタイヤ』実行時の動作について

管理対象のアプリ データ、設定、Intune を使用して割り当てられた電子メールプロファイルが削除され、デバイスは Intune の管理からも削除されます。

会社データの削除では、ワイプと違い、ユーザーの個人データはデバイス上にそのまま保持されます。

 1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

 2. メニューより 『Intune』 をクリックします。

 3. 『デバイス』 – 『すべてのデバイス』を選択します。

 4. 実行するデバイスの名前を選択します。

 5. デバイス名が表示される 『概要』ウインドウで、『リタイヤ』を選択し、『はい』を選択します。

  6. 上記操作を行っていただいたあと、デバイスに電源が入っていて、インターネットに接続されている場合、『リタイヤ』アクションは 15 分以内にデバイスに伝達されます。

  7. アクションがデバイスに伝達され完了すると、デバイス上の Intune ポータル サイト アプリからサインアウトされ、Intune ポータル サイト アプリから展開したアプリは、デバイス上から削除されます。

『リタイヤ』を行った場合に、削除される項目はプラット フォームごとに違います。

※ 『リタイヤ』の動作についての注意点について

Azure AD Join をしている Windows 10 デバイスは、アカウントを切り替えて Azure AD ユーザーでログインをし直します。

Intune から 『リタイヤ』を実施すると、Intune の MDM 登録は削除されるため “MDM に接続済み” が削除される動作になりますが、Azure AD には参加し続けている状態のため、Azure AD アカウントの設定は『設定』 – 『アカウント』 – 『職場または学校にアクセスする』に保持されます。

同表示を消す場合は、 『切断』でアカウントを削除します。

ワイプ *所有が個人の場合はグレーアウトします
工場出荷状態に戻します。

リタイヤ
会社アプリのみ削除します。